Ransomware – Wie schütze ich mich vor SyncCrypt?

Viele Portale und Newsseiten, darunter heise, haben bereits über SyncCrypt berichtet. Die Schadsoftware, die sich auf eine andere Art und Weise am Antivirus System vorbeischleicht und Daten verschlüsselt, verwendet ein JPG Bild als Tarnung. Hier ein paar kurz zusammengefasste Daten zum neuen Schädling:

  • Verbreitung: Spam-Mail getarnt als Gerichsbeschluss (CourtOrder_<Zahlencode>.wsf)
  • Dateityp: WSF – Windows Scripting File
  • Verschlüsselte Dateien: Endung .kk
  • Kosten für die Entschlüsselung: ca. 0.1 Bitcoin

Die Ransomware SyncCrypt arbeitet dabei letztlich über das WSF File alles ab. Es lädt ein JPG File herunter, welches durch Antivirussysteme normalerweise als unbedenklich gekennzeichnet wird. Anschließend wird aus dem JPG eine EXE Datei geladen, die die eigentliche Verschlüsselungskomponente enthält. Laut bleepingcomputer.com wird die JPG Datei wohl bereits von wenigen Antiviruslösungen immerhin erkannt.

Wie schütze ich mich vor SyncCrypt?

  • Backup – denn ohne Backup ist keine kostenfreie Entschlüsselung möglich
  • Anhänge generell mit Vorsicht genießen, vor allem unbekannte Endungen (.wsf)
  • Updates – Windows, Java, Flash, Adobe Reader usw. installieren
  • Security Software – Auch wenn sie selbst ein Einfallstor darstellt, kann sie häufig Bedrohungen abwehren
  • Windows Script Host deaktivieren

Ist es ratsam Windows Script Host zu deaktiveren?

Ich habe noch keine Anwendung genutzt, die diese Skriptdienste in Anspruch genommen hat. Weder privat noch beruflich. Die meisten Skripte, auf die man unter Windows stößt sind meistens Batch Skripte (.bat). Unter Linux finden sich in der Regel Shellskripe (.sh) und mittlerweile viel Python (.py).

Vor der Deaktivierung sollte man aber vor allem im unternehmerischen Bereich prüfen, ob nicht doch eine Drittanwendung die Datei cscript.exe ausführt (Windows Script Host).

Wie deaktiviere ich Windows Script Host?

Dazu muss ein Registrierungsschlüssel in Windows angelegt werden. Diesen legt man wie folgt an:

  • Windowstaste + R: regedit.exe – Enter
  • Wechseln zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
  • Rechtsklick im rechten Fensterbereich ~> Neu ~> DWORD-Wert (32 Bit)
  • Name: Enabled
  • Registry Editor schließen
  • Neustart durchführen (auf Nummer sicher gehen, dass die Änderung angenommen wird)

Zusammengefasst

Daten als Geißeln zu nehmen ist nach wie vor beliebt und relativ einfach. Die damit verbundene Entschlüsselung ist dank moderner Kryptographie leider fast unmöglich. Der einzig wirklich wirksame Schutz ist nach wie vor das Backup, dass hoffentlich nicht durch den Schädling ebenfalls verschlüsselt wird. Ansonsten ist auch eine Zahlung immer Ungewiss und nie eine Garantie für die Wiedererlangung der Daten.

Deswegen: Bleibt bitte immer vorsichtig im Internet. Und öffnet nicht jeden Käse, der euch geschickt wird!

 

Beitragsbild von Christian Coolen – CC-BY-SA 2.0

Artikel teilen:

Kommentar verfassen